Geklonte Stimmen und Avatare, die verhandeln
Was der AI Act der EU regelt.
Die EU, und infolge auch nationales Recht, regulieren Künstliche Intelligenz nach ihren Risiken
Der AI Act ist eine europäische Verordnung, die das Erstellen und Anwenden von Künstlicher Intelligenz in Unternehmen reguliert. Sie ist seit 2. August 2024 in Kraft und muss ab heuer Schritt für Schritt umgesetzt werden. Die KI-Servicestelle der Rundfunk und Telekom Regulierungs-GmbH (RTR) erklärt, dass es dabei um physische, psychische, gesellschaftliche oder wirtschaftliche Risiken geht und sowohl tatsächliche als auch mögliche Schäden erfasst sind. Dabei ist es egal, ob eine KI Menschen, Unternehmen oder öffentlichen Interessen wie der Demokratie oder dem Umweltschutz schadet. Der AI Act geht mehr auf die Folgen für das soziale Miteinander als auf die ökologischen Auswirkungen der KI ein. Auflagen treffen vor allem Unternehmen, die KI-Modelle trainieren, betreiben und sie adaptieren, nur zum Teil Betriebe, die KI nur anwenden.
Verbotene KI
Die Verordnung enthält Kriterien dafür, welche KI mit inakzeptablen Risiken ab Februar 2025 verboten ist. Beispielsweise ist nachzulesen, dass die absichtliche Manipulation von Menschen, die ihnen einen „erheblichen Schaden“ zufügt, verboten ist. Auch die Bewertung von Merkmalen, Verhalten oder Emotionen und die anschließende Benachteiligung gegenüber anderen sind nicht erlaubt. Für das Ausforschen von Straftäter*innen und ihren Opfern dürfen biometrische Daten aus dem öffentlichen Raum mit KI analysiert werden. Voraussetzung dafür ist unter anderem eine Freiheitsstrafe von mindestens vier Jahren. Prognosen, ob Unbescholtene künftig Verbrechen begehen könnten, sind aber verboten.
KI mit hohem Risiko
Eine Künstliche Intelligenz mit einem hohen Risiko ist zum Beispiel eine, die menschliche Entscheidungsmuster erkennt, aber nicht selbst bewertet – stattdessen müssen Menschen die Ergebnisse prüfen und bewerten. Hohes Risiko hat auch KI in der Luftfahrt oder kritischer Infrastruktur, also zum Beispiel der Wasserversorgung. Jene, die solche KI betreiben oder vertreiben, müssen unter anderem möglichen Schäden vorbeugen, beim Training fehlerfreie und repräsentative Daten verwenden, Mängel beheben und ein Risiko- und Qualitätsmanagement haben, das auch dokumentiert wird.
Zu KI mit hohem Risiko gehört auch solche, deren Rechenaufwand über 1025 FLOP liegt, weil dabei der Energieverbrauch ein Risiko für die kritische Infrastruktur sein kann. FLOP ist die Abkürzung für Floating Point Operations, auf Deutsch Gleitkommaoperationen. „Ein aktuelles Smartphone müsste 100.000 Jahre am Stück rechnen, um 1025 FLOP zu erreichen“, erklärt die RTR. Für das Training von ChatGPT 4 dürften 1024 bis 1025 FLOP notwendig gewesen sein.
Die EU-Kommission überprüft bis zum 2. August 2028 und danach alle vier Jahre, wie energieeffizient KI mit hohem Risiko ist und ob die Effizienz gesteigert werden muss.
KI mit geringem Risiko
Chatbots oder KI mit weniger Rechenaufwand als 1025 FLOP bedeuten laut AI Act ein geringes Risiko. Damit sich ethisch einwandfreie, vertrauenswürdige KI in Europa verbreitet, schlägt die Verordnung freiwillige Verhaltenskodizes für solche Modelle vor, in die auch ökologische Nachhaltigkeit einfließen kann. Anbieter*innen und Anwender*innen von risikoarmer KI sind verpflichtet, transparent zu sein. Menschen müssen etwa darüber informiert werden, mit welchen Daten die KI trainiert wurde oder wenn sie mit Künstlicher Intelligenz wie Chatbots interagiert. Texte, Bilder oder Videos, die mit KI erzeugt oder inhaltlich verändert wurden, müssen gekennzeichnet werden. Das gilt auch für Deep Fakes wie geklonte Stimmen. „Offensichtlich“ kreative, satirische oder fiktionale Werke mit KI muss man nur so kennzeichnen, soweit der „Genuss des Werks nicht beeinträchtigt“ wird. Urheber- und Persönlichkeitsrechte gelten weiterhin.
Schulungen für Anwender*innen in Unternehmen
Unternehmen, die KI verwenden, müssen seit dem 2. Februar 2025 für „ausreichende Kompetenz“ der Mitarbeiter*innen sorgen, die mit KI zu tun haben. Wie weit diese reichen müssen, ist nicht definiert. Das wäre aber ohnehin nicht möglich, da die Kompetenzen für eine ChatGPT-Anfrage beispielsweise ganz andere sind als für die Implementierung eines Chatbots.
Das Wirtschaftsprüfungsunternehmen KPMG verdeutlicht, dass es auch Cybersecurity-Kompetenzen braucht. Denn auch Wirtschaftskriminelle bedienen sich der KI. Zum Beispiel kann authentisch wirkende Kommunikation Mitarbeiter*innen täuschen. Falschmeldungen sind mithilfe von KI einfach im Internet zu streuen. Das kann der Reputation und damit dem Erfolg von Unternehmen schaden. Die gute Nachricht ist, dass mithilfe von KI Kriminelles schneller erkannt und bekämpft werden kann.
Geklonte Stimmen
Die Financial Times berichtet bereits 2019 von einem Betrugsfall, bei dem die Stimme eines CEOs eines Energiekonzerns mit Hilfe eines KI-Sprachgenerators imitiert wurde, inklusive Sprachmelodie und leichtem deutschen Akzent. Der vermeintliche CEO beauftragte den Chef eines Tochterunternehmens auf Englisch, eine Eilüberweisung auf das Konto eines Lieferanten in Ungarn zu tätigen. Von dort aus „verschwanden“ die 243.000 US-Dollar unter anderem nach Mexiko. Die Versicherung des Unternehmens übernahm den Schaden.
KI-kreierte Avatare
2023 entstand laut CNN ein Schaden von 25 Millionen US-Dollar durch eine KI-Fake-Video-Konferenz. Einem Auftrag per Mail des Finanzvorstands, Geld zu überweisen, misstraute die Finanzabteilung noch. Dieses Misstrauen wurde aber mit einer Video-Konferenz mit KI-Avataren von Vorstandsmitgliedern zerstreut. Die Hongkonger Polizei gab 2024 bekannt, dass sie die Kriminellen ausforschen konnte.
Weiterführende Links:
AI Act und Compliance Checker für Unternehmen